不正なPythonパッケージをPyPIに44個発見、利用の有無の確認を
Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。
PyPI Suspends New Registrations After Malicious Python Script Attack
特定された44の不正なPyPIパッケージは次のとおり。
sys-scikit-learn 17.8.18
sqlalchemy-requests 7.1.1
sqlalchemy-os 14.0.10
sqlalchemy-install 10.9.4
selenium-matplotlib 17.9.4
scikit-learn-matplotlib 6.12.17
requests-pandas 3.10.17
requests-flask 16.9.16
req-os 20.5.17
req-matplotlib 11.2.18
req-flask 2.9.4
pyyaml-selenium 1.15.3
pytorch-pandas 14.19.3
pytest-pandas 16.6.6
pytorch-pygame 0.6.19
crypto-pygame 10.14.7
pylint-sys 8.15.6
pylint-py 15.0.3
pylint-beautifulsoup 17.10.12
pylint-beautifulsoup 3.12.3
pygame-pytorch 3.4.19
pygame-Print 15.0.6
pygame-install 17.14.20
Print-requests 13.18.4
Print-pip 13.9.3
Print-django 3.9.10
matplotlib-sqlalchemy 16.18.4
pandas-numpy 8.19.3
os-numpy 3.19.4
opencv-keras 17.10.13
numpy-selenium 5.20.19
matplotlib-requests 16.12.4
matplotlib-req 17.6.16
matplotlib-flask 7.15.10
keras-beautifulsoup 2.9.2
keras-arg 19.14.9
install-pyyaml 1.19.12
install-pytest 1.12.7
install-crypto 4.18.5
django-pyyaml 20.17.15
beautifulsoup-scikit-learn 2.4.9
beautifulsoup-requests 12.15.13
beautifulsoup-numpy 10.13.10
これらパッケージのPythonスクリプト内にユーザーのシステムを侵害する悪意のあるペイロードが仕込まれ、リモートサーバから任意の実行ファイル(マルウェア)をダウンロードして実行させていたことが確認されている。
PyPIリポジトリに悪意のあるパッケージを配置する脅威が続いている。Pythonプロジェクトやシステムを危険にさらすサプライチェーン攻撃は後を絶たず、侵害に成功する可能性の高い攻撃手法と考えられている。開発者はサードパーティ製ソフトウェアを使用する場合、リスクが存在していることを認識し、利用するパッケージ情報を入念にチェックすることが望まれる。
特定された44の不正なPyPIパッケージは次のとおり。
sys-scikit-learn 17.8.18
sqlalchemy-requests 7.1.1
sqlalchemy-os 14.0.10
sqlalchemy-install 10.9.4
selenium-matplotlib 17.9.4
scikit-learn-matplotlib 6.12.17
requests-pandas 3.10.17
requests-flask 16.9.16
req-os 20.5.17
req-matplotlib 11.2.18
req-flask 2.9.4
pyyaml-selenium 1.15.3
pytorch-pandas 14.19.3
pytest-pandas 16.6.6
pytorch-pygame 0.6.19
crypto-pygame 10.14.7
pylint-sys 8.15.6
pylint-py 15.0.3
pylint-beautifulsoup 17.10.12
pylint-beautifulsoup 3.12.3
pygame-pytorch 3.4.19
pygame-Print 15.0.6
pygame-install 17.14.20
Print-requests 13.18.4
Print-pip 13.9.3
Print-django 3.9.10
matplotlib-sqlalchemy 16.18.4
pandas-numpy 8.19.3
os-numpy 3.19.4
opencv-keras 17.10.13
numpy-selenium 5.20.19
matplotlib-requests 16.12.4
matplotlib-req 17.6.16
matplotlib-flask 7.15.10
keras-beautifulsoup 2.9.2
keras-arg 19.14.9
install-pyyaml 1.19.12
install-pytest 1.12.7
install-crypto 4.18.5
django-pyyaml 20.17.15
beautifulsoup-scikit-learn 2.4.9
beautifulsoup-requests 12.15.13
beautifulsoup-numpy 10.13.10
これらパッケージのPythonスクリプト内にユーザーのシステムを侵害する悪意のあるペイロードが仕込まれ、リモートサーバから任意の実行ファイル(マルウェア)をダウンロードして実行させていたことが確認されている。
PyPIリポジトリに悪意のあるパッケージを配置する脅威が続いている。Pythonプロジェクトやシステムを危険にさらすサプライチェーン攻撃は後を絶たず、侵害に成功する可能性の高い攻撃手法と考えられている。開発者はサードパーティ製ソフトウェアを使用する場合、リスクが存在していることを認識し、利用するパッケージ情報を入念にチェックすることが望まれる。